¿Qué es un plan de recuperación ante desastres (DRP)?

Los DRP ayudan a garantizar que las compañías estén preparadas para hacer frente a muchos tipos diferentes de catástrofes, como cortes de electricidad, ataques de ransomware y malware, desastres naturales y mucho más.

Un DRP estable ayuda rápida y eficazmente a restaurar la conectividad y reparar la pérdida de datos después de un desastre. Según el Worldwide Semiannual Security Products Tracker de la International Data Corporation, los ingresos mundiales por productos de seguridad ascendieron a 106.800 millones de USD en 2023, un aumento del 15.6 % respecto a 2022.

Al igual que un DRP, un plan de continuidad del negocio (BCP) es parte del proceso de recuperación ante desastres que ayuda a las empresas a restaurar las operaciones normales después de un desastre. Los BCP suelen tener una visión más amplia de las amenazas y las opciones de resolución que los DRP, centrándose en lo que una empresa necesitará para restaurar las funciones básicas del negocio después de un incidente.

Los planes de respuesta a incidentes (IRPs) son un tipo de DRP que se centra exclusivamente en la ciberseguridad y las amenazas a los sistemas de información. Un IRP describe claramente la respuesta de emergencia de una organización desde el momento en que detecta una amenaza hasta su mitigación y resolución. Un IRP busca abordar los daños específicos causados por un ciberataque y se centra exclusivamente en la preparación frente a las amenazas a la tecnología, la infraestructura informática, las operaciones empresariales y la reputación.

Los DRP desempeñan un papel crítico en el desarrollo de un plan de seguridad general que ayuda a garantizar a los stakeholders, clientes e inversionistas que una compañía opera de manera responsable. Las empresas que no toman las medidas necesarias para garantizar la preparación enfrentan diversos riesgos, incluida la costosa pérdida de datos, tiempos de inactividad operativa, sanciones financieras y daños a la reputación.

Estas son algunos de los beneficios de los que pueden disfrutar las compañías que invierten en la creación de un DRP estable:

Muchas de las compañías más importantes de la actualidad dependen en gran medida de la tecnología para sus operaciones normales. Cuando un incidente imprevisto interrumpe el curso normal de los negocios, puede costar millones. El alto perfil de los ciberataques y la duración frecuentemente analizada de sus periodos de inactividad también pueden hacer que los clientes y los inversionistas pierdan la confianza. Los DRP probados rigurosamente ayudan a las compañías a volver a funcionar con rapidez y sin problemas después de un incidente no planeado.

La recuperación de un incidente puede ser costosa. Según el reciente Informe del costo de la filtración de datos de IBM, el costo promedio de una filtración en 2023 fue de USD 4.45 millones, un aumento del 15% con respecto a los tres años anteriores. Las compañías con DRP estables pueden reducir significativamente los costos de recuperación del negocio y otras consecuencias de un incidente no planeado. El mismo reporte encontró que, en promedio, las organizaciones que emplean IA de seguridad y automatización ahorran ampliamente USD 1.76 millones en comparación con las organizaciones que no lo hacen.

Debido a la magnitud y frecuencia de los ciberataques, muchas compañías confían en los seguros cibernéticos para protegerse de las peligrosas brechas de seguridad. Muchas aseguradoras no aseguran una empresa que no haya establecido un DRP fuerte. Los DRP pueden ayudar a reducir el perfil de riesgo global de su compañía con las aseguradoras y a mantener las primas bajas.

Las compañías que operan en sectores muy regulados, como sanidad y finanzas personales, se enfrentan a grandes multas y sanciones por filtración de datos. Acortar los ciclos de vida de respuesta y recuperación es fundamental en estos sectores, ya que la cuantía de una sanción económica suele estar vinculada a la duración y gravedad de una infracción. Las compañías con DRP sólidos pueden recuperarse más rápida y totalmente de un incidente imprevisto y enfrentar menos multas como resultado.

Los DRP más eficaces se elaboran junto con BCP e IRP sólidos que brindan un apoyo crucial cuando se produce un incidente. Veamos algunos términos clave que son esenciales para entender cómo funcionan los PRD y qué hay que considerar a la hora de crear el suyo propio:

La conmutación por error es un proceso ampliamente utilizado en el que las operaciones de TI se trasladan a un sistema secundario cuando uno primario falla debido a un corte de energía, un ciberataque u otra amenaza. La conmutación por recuperación es el proceso de volver al sistema original después de que se restauró. Por ejemplo, una compañía puede conmutar por error desde su centro de datos a un sitio secundario donde un sistema redundante surte efecto al instante. Si se ejecuta correctamente, la conmutación por error o la conmutación por recuperación pueden crear una experiencia fluida en la que un usuario o cliente ni siquiera es consciente de que se está trasladando a un sistema secundario.

RTO se refiere al tiempo que se tarda en restaurar las operaciones del negocio después de un incidente no planificado. Establecer un RTO razonable es una de las primeras cosas que las compañías deben hacer cuando crean su DRP.

El RPO de su compañía es la cantidad de datos que puede permitirse perder en un desastre y aún así recuperar. Algunas compañías copian constantemente los datos a un centro de datos remoto para garantizar la continuidad si se produce una infracción masiva. Otros establecen un RPO tolerable de unos minutos (u horas) para saber que pueden recuperarse de lo que perdieron durante ese tiempo.

DRaaS fue ganando popularidad últimamente debido a una creciente concientización sobre la importancia de la seguridad de los datos. Las compañías que adoptan un enfoque DRaaS para crear sus DRP subcontratan su recuperación ante desastres con un tercero. Este tercero aloja y gestiona la infraestructura necesaria para la recuperación, luego crea y gestiona planes de respuesta y garantiza una rápida reanudación de las operaciones críticas para el negocio. Según un informe reciente de Global Market Insights, el tamaño del mercado de DRaaS fue de 11 500 millones de dólares en 2022 y se preveía que creciera un 22 % en 2023.

Con la prevalencia y la creciente sofisticación del delito cibernético, la mayoría de las organizaciones están centrando sus esfuerzos de DRP en su infraestructura de TI, incluidos los procedimientos críticos de respaldo de datos (tanto dentro como fuera del sitio) y la protección de datos. Estos son algunos ejemplos de planes de recuperación ante desastres de TI que se adoptaron para enfrentar una amenaza específica o necesidad empresarial:

El desarrollo de un DRP comienza con un análisis de los procesos de negocio, el análisis de riesgos y algunos objetivos de recuperación claramente definidos. Si bien no existe una plantilla confiable y única, hay varios pasos que puede seguir, independientemente del tamaño de la compañía o la industria, para asegurarse de contar con un proceso para enfrentar diversos incidentes.

Un análisis de impacto en el negocio (BIA) es una evaluación cuidadosa de cada amenaza que una compañía podría enfrentar y cuáles podrían ser sus ramificaciones. Un BIA estable examina cómo una amenaza potencial podría afectar cosas como las operaciones diarias, los canales de comunicación y la seguridad de los trabajadores. Algunos ejemplos de posibles consideraciones para un BIA incluyen la pérdida de ingresos, el costo del tiempo de inactividad, el costo de la reparación de la reputación (relaciones públicas), la pérdida de clientes e inversionistas (a corto y largo plazo) y las sanciones incurridas por infracciones de cumplimiento.

Diferentes industrias y tipos de negocios enfrentan diferentes amenazas, por lo que el análisis de riesgos es fundamental para determinar cómo responder a cada una de ellas. Puede evaluar cada riesgo por separado con base tanto en su probabilidad como su impacto potencial. Existen dos métodos ampliamente utilizados para determinar el riesgo: el análisis de riesgo cualitativo y cuantitativo. El análisis cualitativo se basa en el riesgo percibido, mientras que el análisis cuantitativo se realiza por medio de datos verificables.

Para recuperarse de un incidente cibernético, es importante tener una imagen completa de los activos que posee su compañía. Hacer un inventario regular ayuda a identificar hardware, software, infraestructura de TI, datos y otros activos que son críticos para las operaciones comerciales. Puede usar etiquetas como "Crítico", "Importante" y "Sin importancia" como punto de partida para dividir sus activos en tres categorías generales y luego asignarles etiquetas más específicas según sea necesario:

• Crítico: solo etiquete los activos como críticos si su compañía los necesita para sus operaciones comerciales normales.
• Importante: Asigne esta etiqueta a los activos que emplea al menos una vez al día y que tendrían un impacto en las operaciones comerciales (pero no las cerrarían por completo) si se interrumpieran.
• Sin importancia: estos son activos que su negocio utiliza con poca frecuencia y que no son esenciales para las operaciones normales del negocio.

La sección de roles y responsabilidades de su DRP es posiblemente la más importante. Sin ella, nadie sabe qué hacer cuando ocurre un incidente imprevisto. Si bien los roles y responsabilidades reales varían en gran medida según el tipo de negocio que lleve a cabo, aquí se presentan algunos roles y responsabilidades típicos contenidos en la mayoría de los DRP:

• Comunicación de incidentes: Debe asignar una persona (o varias) en cada departamento cuya única responsabilidad sea comunicarse con el equipo directivo, los stakeholders y todas las autoridades pertinentes cuando se produzcan incidentes disruptivos.
• Gestión de DRP: Debe designar a un supervisor de DRP para garantizar que los miembros del equipo realicen sus tareas asignadas y que el DRP funcione sin problemas.
• Protección de activos: debe asignar a alguien el trabajo de asegurar y proteger sus activos más críticos cuando ocurre un desastre e informar sobre su estado a la gerencia y a los stakeholders.
• Comunicación con terceros: Debe hacer que sea responsabilidad de una persona coordinarse con cualquier proveedor externo que contrató como parte de su DRP. Esta persona debe dar actualizaciones constantes sobre cómo va el DRP a cualquier stakeholder relevante.

Para garantizar que su DRP se desarrolle perfectamente durante un incidente real, debe practicarlo de manera regular y actualizarlo de acuerdo con cualquier cambio significativo que realice en su negocio. Por ejemplo, si su compañía adquiere un nuevo activo después de que se formó su DRP, deberá incorporarlo a su plan para garantizar que esté protegido en el futuro.

Las pruebas y el refinamiento se pueden simplificar en tres pasos:

1. Cree un entorno lo más parecido al escenario real al que se enfrentará su empresa sin poner a nadie en riesgo físico. 
2. Identifique problemas: Emplee el proceso de prueba para identificar fallas e inconsistencias con su plan y luego abordarlas en la próxima iteración de su DRP.
3. Pruebe sus capacidades de copia de seguridad y restauración: Ver cómo va a responder ante un incidente es vital, pero es igual de importante probar los procedimientos que puso en marcha para restaurar sus sistemas críticos cuando el incidente terminó. Pruebe cómo volverá a activar las redes, recuperará los datos perdidos y reanudará las operaciones comerciales normales.